Desastre, Recuperação e Gestão da Continuidade do Negócio Livro-Texto - Unidade II

Prévia do material em texto

48
Unidade II
Unidade II
3 PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) OU 
BUSINESS CONTINUITY PLAN (BCP)
O Plano de Continuidade do Negócio (PCN), também conhecido como Business Continuity Plan (BCP), 
de acordo com a NBR ISO 22301:2020, é definido como “um conjunto de procedimentos documentados 
que orientam as organizações a responder, recuperar, retomar e restaurar a um nível pré-definido de 
operação após a interrupção” (ABNT, 2020b).
Para Oliveira (2014), um PCN é um conjunto de estratégias e de planos de ação preventivos que 
garantem o pleno funcionamento dos serviços essenciais de uma empresa durante quaisquer tipos de 
falhas, até que a situação seja normalizada.
O PCN é uma medida administrativa que visa, sobretudo, assegurar que as operações (pelo menos 
as críticas) sejam mantidas durante uma crise ou evento negativo. Seu principal objetivo é a prevenção 
da ocorrência de desastres. Ele também é um conjunto de planos e de procedimentos que devem ser 
utilizados em um processo de gerenciamento de crise, a fim de que sejam mantidas as atividades vitais 
para a organização naquele momento.
É necessário que o PCN tenha estreita relação com as estratégias e os planos táticos da empresa. 
É por ele que é montado um plano de ações que garante os serviços essenciais de continuidade da 
empresa. Todos os envolvidos (direção e demais interessados na organização) devem ter conhecimento 
de todas as partes do PCN.
Embora a implantação do PCN fique a cargo da alta direção da companhia, toda a equipe de 
gerenciamento deve auxiliar nas atividades de criação, manutenção, divulgação e coordenação 
desse plano.
3.1 Vantagens oriundas do PCN
A empresa que adota um PCN confirma que dispõe de boas práticas de gestão e governança e que 
conta com os benefícios expostos a seguir:
• identificação dos processos críticos e de seus respectivos impactos em termos de ruptura no 
funcionamento da companhia;
• determinação do grau de exposição que os riscos podem gerar;
49
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
• implementação de respostas eficientes a possíveis interrupções, o que acontece como 
consequência do planejamento das ações necessárias a serem tomadas;
• manutenção da equipe preparada e treinada para eventuais ocorrências relevantes;
• preservação da imagem da companhia perante seus clientes e a sociedade como uma empresa de 
gestão administrativa profissional e que adota boas práticas;
• minimização ou eliminação de possíveis impactos negativos nas partes interessadas e nos 
bens ativos;
• sobrevivência da empresa (continuidade do negócio), que é a essência do porquê de usar esse 
framework frente a qualquer crise;
• transmissão clara para a sociedade da mensagem de que a companhia melhora constantemente.
Enfim, o PCN deve fazer parte de uma governança corporativa bem estruturada, amparada por boas 
práticas de gestão.
Não existem penalidades legais para uma empresa que não implementa um PCN; entretanto, 
devemos lembrar que as empresas dependem de clientes e que esses clientes desejam ser bem atendidos 
em suas aspirações e necessidades. Os clientes migram para aquelas empresas que os atendem com 
as condições por eles esperadas. Isso significa que, embora não exista penalidade legal, a ausência da 
manutenção das condições mínimas de atendimento às necessidades dos clientes pode provocar a ida 
de tais clientes para outra companhia. Essa é uma grande penalização em termos factuais.
Tome, por exemplo, uma pessoa que investe seu dinheiro em uma instituição financeira. Além do 
lucro, o desejo dessa pessoa é a segurança de que ela não sofrerá prejuízo no caso de uma eventual crise. 
Um PCN pode servir de garantia contra o risco de perdas por impactos nas operações da organização.
3.2 Estruturação do PCN
Na estruturação de um PCN, as diretrizes devem partir da alta administração e ser do conhecimento de 
todos os colaboradores da organização. Todos os funcionários da empresa devem ter ciência das fases e ações 
previstas no PCN e, se possível, contribuir na sua elaboração. Afinal, são as pessoas envolvidas no dia a dia com 
a operação da empresa as mais indicadas para auxiliar na identificação de possíveis riscos e ameaças.
Para a construção de um PCN eficaz, devem ser estudadas as três questões básicas expostas a seguir:
• O que de ruim pode acontecer e quais são as principais ameaças ao negócio?
• Como as ameaças podem impactar o negócio?
• O que fazer caso uma ameaça de fato se apresente?
50
Unidade II
Inicialmente, o PCN deve considerar as situações de riscos com maior impacto (ou seja, as situações 
críticas) para, depois, ampliar seus estudos e buscar soluções para enfrentar outras situações de perigo.
Normalmente, um PCN é estruturado em quatro subplanos menores, indicados a seguir:
• Plano de Contingências (PC): trata-se do plano que prevê as ações da empresa quando todas as 
prevenções falharem.
• Plano de Administração ou de Gerenciamento de Crises (PAC): trata-se do plano que define 
as funções e as responsabilidades das equipes envolvidas com o acionamento das ações de 
contingência antes, durante e após a ocorrência do desastre.
• Plano de Recuperação de Desastres (PRD): trata-se do plano que determina o que deve ser 
feito para que, uma vez controlada a contingência e passada a crise, a empresa retome seus níveis 
originais de operação.
• Plano de Continuidade Operacional (PCO): trata-se do plano que visa ao restabelecimento do 
funcionamento dos principais ativos que suportam as operações da empresa.
Em suma, o PCN tem como objetivo a criação de normas e padrões de procedimentos para que, em 
situações adversas, a empresa possa retomar seu caminho e dar prosseguimento aos seus processos de 
negócio. Para que ele tenha sucesso, é importante que ele esteja alinhado com a missão, com as metas 
e com a visão da empresa. Não adianta a busca por um objetivo ser diferente do que está no plano 
estratégico da empresa.
Um ponto importante na estruturação de um PCN refere-se aos treinamentos que visam à 
mudança cultural dos colaboradores. São os colaboradores que, efetivamente, constituem a companhia. 
Os treinamentos de mudança cultural têm como meta mostrar que todos são responsáveis pela empresa.
Muitas vezes, os colaboradores colocam a empresa em risco sem saber que o estão fazendo. 
Tomemos, por exemplo, a situação na qual, em um ambiente corporativo, não exista a possibilidade de 
utilização de pendrive ou de acesso à internet em determinado computador. Suponha, agora, que, por 
falta de conhecimento ou por desrespeito a determinada regra, um colaborador tente acessar a internet 
ou usar um pendrive naquele computador. Consciente ou não, esse colaborador coloca a organização 
em situação de risco, pois a ação por ele praticada pode comprometer a segurança das informações 
contidas naquela máquina.
Da mesma forma que o ator da transgressão coloca a segurança da empresa em risco, aquele que vê e 
pensa “isso não é da minha conta” comete erro. A segurança das informações faz parte da continuidade 
do negócio, e isso é “da conta” de todos os funcionários da empresa.
Na área de tecnologia da informação (TI), a situação não é diferente. Ter governança de TI é 
fundamental para diminuir os riscos, conseguir resultados mais favoráveis e alinhados aos objetivos da 
empresa e manter a continuidade do negócio.
51
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Para garantir a governança, o Cobit (sigla para Control Objectives for Information and Related 
Technology) é o principal conjunto de ferramentas. Ele é um conjunto de práticas de controle da 
informação, que vão desde o planejamento até o monitoramento de resultados, cuja estrutura é capaz 
de fornecer governança de TI e que tem como principal objetivo a geração de valor para a empresa e 
para os seus processos.
 Saiba mais
Para saber mais sobre o Cobit, sugerimos o que segue.
Assista ao seguinte vídeo:
COBIT 5 em 5 minutos | O que é Cobit? Brasil: Portal GSTI, 2017.5 min. 
Disponível em: https://www.youtube.com/watch?v=_zW-tfHKbdE. 
Acesso em: 22 abr. 2021.
Leia o subtítulo 8.1 da seguinte publicação:
FERNANDES, A. A.; DINIZ, J. L.; ABREU, V. F. Governança digital 4.0. 
Rio de Janeiro: Brasport, 2019.
3.2.1 Responsabilidades, consequências e estruturação de um PCN
Apesar de todas as decisões serem tomadas por um grupo de pessoas, deve existir um responsável 
pelo PCN. Em grandes empresas, com várias unidades, pode haver um responsável para cada unidade, 
o que constitui uma equipe de responsáveis. Esse(s) responsável(is) tem(têm) o poder de decisão, em 
qualquer situação de imprevisto ou de indisponibilidade, para colocar em prática o PCN.
A oportunidade de uso do PCN deve ser analisada usando a matriz Raci como ferramenta de análise.
 Lembrete
Raci é a sigla formada pelas iniciais de Responsável (Responsible), 
Aprovador (Accountable), Consultado (Consulted) e Informado (Informed).
Na matriz Raci são atribuídas as responsabilidades e informadas as 
ações necessárias de cada envolvido.
52
Unidade II
 Observação
A matriz Raci foi estudada no subtítulo 1.4.4.
Em cada empresa, de acordo com seu segmento de atuação e conforme o produto ou serviço prestado, 
devem ser definidas prioridades específicas a serem incluídas no PCN (isso deve ser feito juntamente 
com a gestão da continuidade do negócio, que será objeto de estudo na próxima unidade). Conforme 
dissemos, o objetivo é, passada a situação de crise, restabelecer as funções normais da empresa.
A figura a seguir mostra o que pode acontecer com uma empresa após um incidente:
Depois da 
implementação 
de um PCN
Antes da 
implementação 
de um PCN
OMCN - 
objetivo mínimo 
de continuidade de 
negócios
Estado 
operacional da 
empresa
100%
Incidente
Tempo
Figura 6 – Conceito de plano e gestão de continuidade do negócio
Essa figura mostra que, antes do incidente, o estado operacional da empresa era 100% da sua 
capacidade e que, após o incidente, existem dois caminhos possíveis: um cenário com um PCN e outro sem.
Observe como o estado operacional da empresa cai de forma abrupta na situação em que não há 
a implementação de um PCN. Veja, também, que a redução do estado operacional é menos intensa 
quando há um PCN.
Na figura, ainda é possível verificar que é estabelecido um objetivo mínimo de continuidade de 
negócio (OMCN): trata-se do valor mínimo aceitável para que a empresa continue com seus negócios e 
não sofra solução de continuidade.
53
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
O PCN é baseado em alguns princípios, que são fundamentais para a continuidade do negócio. Tais 
princípios estão expostos a seguir:
• Prevenção de incidentes: significa proteger contra ameaças (como as geradas pelo ambiente), 
falhas em hardware, erros operacionais, ataques maliciosos e desastres naturais.
• Detecção de incidentes: significa detectar incidentes o mais cedo possível, minimizar impactos, 
reduzir esforços de recuperação e preservar a qualidade da entrega de valor para o cliente.
• Resposta: significa responder a um incidente da maneira mais apropriada possível, o que resulta 
em recuperação mais eficiente e redução da quantidade de paradas.
• Recuperação: significa identificar e implementar a estratégia de recuperação apropriada, o que 
garante a recuperação dos serviços dentro de um tempo aceitável. O entendimento das prioridades 
de recuperação permite que os serviços mais críticos possam ser reinstalados primeiro.
• Melhoria: significa usar as lições aprendidas de incidentes anteriores, o que é fundamental para 
o estabelecimento de um PCN eficaz. É importante que os incidentes e suas consequências sejam 
documentados e analisados criticamente. O entendimento dessas lições permite que a organização 
esteja mais bem preparada para o futuro.
A figura a seguir mostra como os elementos em um PCN ficam em uma linha de tempo:
Resposta Recuperação
Mitigação de risco e 
monitoramento, teste 
e exercícios
Detecção
Tempo de recuperação
Tempo de ativação do plano
Tempo de 
detecção
Operação normal
Tempo zero
Incidente 
ocorre
Incidente 
resolvido
Detectar 
incidente
Iniciar 
recuperação 
em local 
alternativo
Retorno à 
operação 
normal de 
negócio
Operação 
recuperada 
(min) em local 
alternativo
Figura 7 – Princípios do PCN em uma linha de tempo para a recuperação de desastres
O tempo de detecção, que é o tempo entre a ocorrência de um incidente e sua detecção, deve ser o 
menor possível. Por isso, o monitoramento da operação deve ser constante.
Note que a soma do tempo de detecção com o tempo de resposta constitui o tempo de ativação. 
Assim, quanto mais rápida for a resposta, mais rápida será a ativação.
54
Unidade II
O tempo de recuperação é consequência do tempo de ativação. Quanto mais rápidas forem a 
detecção e a resposta, mais rapidamente o negócio estará de volta à sua operação normal.
3.2.1.1 Estruturação de um PCN
A estrutura de um PCN é semelhante à estrutura feita para um planejamento empresarial. Assim, os 
participantes são reunidos em três grupos:
• grupo estratégico;
• grupo tático;
• grupo operacional.
A hierarquia desses grupos é apresentada na figura:
Política - diretrizes do PCN, estruturação 
do sistema de gestão de continuidade do 
negócio, análise de impacto
Gerenciamento de risco - plano 
de gerenciamenteo de incidentes, 
gerenciamento de crises, mitigação de 
riscos, plano de continuidade operacional
Planos - recuperação de 
desastres, continuidade do 
negócio, teste e validações
Estratégico
TáticoN
íve
is
Operacional
Figura 8 – Níveis de atuação do PCN
A relação entre esses grupos pode ser entendida como sendo a mesma relação existente em 
um planejamento empresarial. O grupo estratégico é responsável pela política, o grupo tático é 
responsável pelo gerenciamento de riscos e o grupo operacional é responsável pelos planos para a 
continuidade do negócio.
3.2.1.2 Grupo estratégico
O grupo estratégico é responsável pelas decisões estratégicas da corporação e é composto por dois 
subgrupos: o grupo executivo e o grupo de comunicação e de apoio ao executivo.
55
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
• Grupo executivo: formado pela diretoria executiva. Esse grupo tem como função a determinação 
das diretrizes básicas do PCN e a tomada de decisões em eventos ou crises de contingências que 
afetem toda a empresa.
• Grupo de comunicação e de apoio ao executivo: formado pelos colaborares que contribuem 
no processo de decisão do grupo executivo. Esse grupo reporta informações aos clientes, à 
imprensa (quando envolve grandes repercussões), aos fornecedores, aos grupos específicos de 
pessoas, às autoridades etc. Além disso, tal grupo é responsável por passar informações para a 
área interna da empresa.
3.2.1.3 Grupo tático
Também conhecido como grupo de administração de crises, o grupo tático é formado por todos os 
colaboradores que exercem a supervisão de um grupo operacional. É isso que garante a execução dos 
planos operacionais.
3.2.1.4 Grupo operacional
O grupo operacional é formado por todos os colaboradores com responsabilidades operacionais 
que estão inseridos no PCN. Engloba os envolvidos com as questões administrativas e de infraestrutura 
física, lógica, de alimentação, de transporte, de segurança e de apoio.
3.3 Elaboração do PCN
A elaboração de um PCN exige um estudo detalhado dos processos da empresa para que seja possível 
identificar aqueles que são críticos para seu funcionamento.
 Observação
Recomenda-se que os estudos relativos ao PCN sejam feitos por 
profissionais e empresas com experiência no assunto, gabaritados e 
certificados para tal.
Após o mapeamento dos principais processos, deve ser feito o mapeamento das ameaças e das 
vulnerabilidades existentes, cujo objetivo é a detecção dos riscos e dos prováveis prejuízos.
A próxima etapa é a realização de uma análise de riscos, que qualifica e quantifica os possíveis 
prejuízos. Além de estimar as possíveisperdas operacionais, a análise de riscos tem como objetivo evitar 
que elas aconteçam. O modelo de análise de risco indicado pela NBR ISO 27005:2019 é o que a figura 
a seguir apresenta:
56
Unidade II
Definição do contexto
Co
m
un
ic
aç
ão
 d
o 
ris
co
M
onitoram
ento e análise crítica de riscos
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
Tratamento do risco
Aceitação do risco
Não
Não
Ponto de decisão 1
Avaliação satisfatória
Análise de riscos
Análise/avaliação riscos
Ponto de decisão 2
Tratamento satisfatório
Sim
Sim
Figura 9 – Modelo de análise de risco
As fases da análise de risco são seguidas de outras etapas que buscam montar um panorama do que 
pode ser feito caso uma ameaça se concretize. A figura a seguir mostra as fases da implantação de um PCN:
57
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Fase 1
Planejamento
↓
Fase 2
Levantamento de dados
↓
Fase 3
Análise de impacto nos negócios (BIA)
↓
Fase 4
Estratégia de recuperação
↓
Fase 5
Desenvolvimento dos planos
Figura 10 – Fases para implantação de um PCN
3.3.1 Fase 1: planejamento
Na primeira fase de um PCN, que é a fase de planejamento (fase 1), deve ocorrer um planejamento 
detalhado de todo o processo para a elaboração desse plano. Nessa etapa, definimos equipes, 
grupos, responsáveis e periodicidade dos encontros e elaboramos a previsão orçamentária para a 
preparação e a implantação do PCN. É comum que, nessa etapa, ocorram workshops e reuniões de 
equipes multidisciplinares.
O produto dessa fase do planejamento é a declaração de escopo do Sistema de Gestão de Continuidade 
de Negócios (SGCN).
A seguir, é apresentado um modelo de documentos de declaração de escopo do SGCN, adaptado de 
Manoel (2019):
Exemplo de aplicação
Modelo de documentos de declaração de escopo do SGCN
Quadro 4 
Empresa
H. V. Aidar Certo
Tipo: Plano Código do documento: PL-SGCN-003-U.F.A.
Declaração de escopo do Sistema de Gestão de 
Continuidade de Negócios
Autor: Nome da pessoa ou do grupo 
Revisado em: 10/01/2019 
Aprovador: Nome da pessoa ou do grupo 
Versão: 1.00 
Aprovação: 10/02/2019
58
Unidade II
Finalidade
A finalidade desse documento é definir claramente os limites do Sistema de Gestão da Continuidade 
de Negócios da Organização (SGCN).
Os usuários do documento são membros de alta direção, chefes de continuidade de negócios e 
membros da equipe que irão operar e manter o sistema de gestão.
O documento aborda os assuntos listados a seguir:
• Escopo do SGCN.
• Resultados pretendidos com o SGCN.
• Partes interessadas.
• Arquitetura de infraestrutura de rede.
• Inventário de ativos de informação (ambiente físico, pessoas, tecnologia e processos).
• Ambiente físico onde a organização está alocada.
• Perímetro físico do escopo.
• Interfaces internas.
• Colaboradores sob o escopo.
• Prestadores de serviço para o escopo.
• Mapa de processos.
• Referência da Norma ABNT NBR ISO 22301:2020.
Aplicabilidade
O documento aplica-se a toda a documentação e às atividades do SGCN.
Funções e responsabilidades
Chefe de continuidade de negócios: deve elaborar o documento.
Alta direção e Comitê de Continuidade de Negócios: devem aprovar a declaração de escopo do SGCN.
59
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Termos e definições
As definições dos termos e das expressões utilizados no documento constam nos termos e nas 
definições das Normas ISO 22300:2018, ABNT NBR ISO 22301:2020 e ABNT NBR ISO 22313:2020.
Regras e procedimentos
1 Aspectos gerais
1.1 Sobre a organização
Neste item, deve ser descrito tudo que a organização faz, seus processos, suas principais atividades, seus 
produtos e seu público-alvo. Uma dica é buscar essas informações no site institucional da organização.
1.2 Missão e visão da organização
Neste item, devem ser descritos a missão, a visão e os valores da organização. Essas diretrizes devem 
direcionar os objetivos da CN.
1.3 Sobre o Sistema de Gestão de Continuidade de Negócios (SGCN)
Neste item, deve ser descrito o escopo do SGCN.
2 Escopo do Sistema de Gestão de Continuidade de Negócios (SGCN)
2.1 Descrição do escopo do SGCN
O SGCN visa à adoção das práticas consagradas internacionalmente, como ABNT NBR ISO 22301:2020, 
com os objetivos listados a seguir:
• Entender as necessidades e implementar uma Política de Continuidade de Negócios.
• Definir os objetivos da Gestão de Continuidade de Negócios e como esses objetivos contribuem 
para o sucesso da organização.
• Implementar e operar controles de segurança para gerenciar os incidentes de interrupção e 
os desastres.
• Monitorar e analisar criticamente o desempenho e a eficácia do SGCN.
• Implementar melhorias contínuas com base na medição objetiva.
60
Unidade II
Algumas das atribuições do SGCN são as listadas a seguir:
• Promover o estabelecimento da Política de Continuidade de Negócios válidas para a organização, 
tendo em conta o estabelecido nas políticas corporativas.
• Arquitetar a continuidade de negócios dentro do escopo dos sistemas operativos.
• Gerar e manter documentação atualizada relativa à temática da continuidade de negócios.
• Analisar a questão de continuidade de negócios em projetos já implementados e em projetos que 
serão implementados.
• Definir e monitorar a implementação de processos referentes à continuidade de negócios.
• Elaborar periodicamente relatórios de atividades e submetê-los aos responsáveis e à alta direção.
• Implementar os procedimentos de continuidade de negócios e de recuperação que foram 
estabelecidos na organização.
• Apoiar a implementação dos Planos de Recuperação de Desastres e demais Planos de Continuidade 
de Negócios.
• Definir estratégias de continuidade para os equipamentos e os processos no escopo do SGCN.
• Prevenir e corrigir possíveis invasões ou ameaças, seguindo a determinação da Política de 
Continuidade de Negócios.
• Garantir a realização de análises de riscos a fim de precaver pontos de vulnerabilidade na rede, 
realizando ações corretivas e/ou informando aos administradores responsáveis.
• Propor requisitos de continuidade de negócios que devem ser observados na aquisição de 
hardware e software.
A organização deve identificar e documentar atividades, funções, serviços, produtos e parcerias da 
organização, bem como cadeias de suprimentos e o impacto potencial relacionado a um incidente 
de interrupção ou um desastre. Segue um exemplo de mapeamento de um processo do escopo do SGCN.
2.2 Processo de negócio: vendas
As atividades e os serviços envolvidos são os que seguem:
• Site da empresa: site institucional em funcionamento na internet 24 horas por dia, com 
apresentação do mostruário de produtos.
61
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
• Escolha do produto: cliente acessa o site e escolhe qual produto deseja comprar.
• Pedido de compra do produto: cliente confirma por meio do site que deseja adquirir 
aquele produto.
• Recepção interna do produto: o setor de administração do site institucional recebe a informação 
de que um cliente solicitou a compra de um determinado produto.
• Setor financeiro: a área responsável pelas cobranças é mobilizada para dar sequência ao 
pagamento na forma que foi solicitada pelo cliente no ato da compra.
• Validação da solicitação de compra: é enviada uma mensagem por e-mail ou SMS ao cliente 
para informá-lo de que a solicitação de compra foi recebida, o pagamento foi validado pelos 
controles internos da empresa e em breve será realizada a entrega do produto.
• Estoque dos produtos: a empresa busca em seu estoque o produto solicitado pelo cliente. Se a 
venda ocorre no formato de consignação, entre em contato e envie as informações necessárias 
para o fornecedor, com o intuito de solicitar a entrega do produto para o cliente.
• Expedição: a empresa (ou fornecedor responsável pela entrega do produto) deve realizar a 
embalagem de acordo com as características do produto, para não sofrer danos no transporte atéa localidade solicitada pelo cliente.
• Logística: o produto é entregue pelos Correios.
• Pesquisa de satisfação: a empresa entra em contato com o cliente para que seja feita uma 
pesquisa de satisfação sobre a compra, para melhorar continuamente o seu processo de venda.
• Produtos: diversos produtos eletrônicos.
2.3 Inventário de ativos de informação que suportam os processos
O tipo de ativo de ambiente físico está sintetizado a seguir:
Quadro 5 
Item Nome Localização Responsável
01 Sede da empresa
RB1 – Edifício Rio Branco, 1
Rio de Janeiro/RJ
Ziemlich Verantwortlich
02 Data center
RB1 – Edifício Rio Branco, 1
Rio de Janeiro/RJ
Ziemlich Verantwortlich
62
Unidade II
O tipo de ativo de tecnologia está sintetizado a seguir:
Quadro 6 
Item Nome Host name IP Resp. Função Sistema operac.
01 Servidor de banco de dados SV9000613 10.10.23.192 Sato Galak
Sistema de 
informação de 
venda
Windows 
Server 2008 
Family
02 Member server VS9000269 10.10.23.11 Sato Galak Sistema de cobrança
Windows 
Server 2008 
Family
03 Member server SV9000613 10.10.23.192 Sato Galak
Sistema de 
informação de 
venda
Windows 
Server 2008 
Family
O tipo de ativo de pessoas está sintetizado a seguir:
Quadro 7 
Item Nome Função E-mail Área
01 Osvaldo Permén Diretor osvaldo@gmail.com Diretoria
02 Sorrel Konéng Técnico de TI rel@gmail.com Tecnologia da informação
03 Sorrel Konéng Técnico administrativo rel@gmail.com Administrativo
O tipo de ativo de processos está sintetizado a seguir:
Quadro 8 
Item Processo Descrição Responsável
01 Gestão de cópias de segurança
Monitoramento dos logs das bases de 
dados para verificação de crescimento. 
Confirmação da realização das cópias 
de segurança. Realização do backup 
periódico: full ou diferencial
Jeruk Nipis
02 Gestão de incidentes de SI
Monitoramento das suspeitas de 
tentativas de intrusão. Verificação e 
tratamento das ameaças de instrução e 
de tráfegos irregulares
Sorrel Konéng
03 Gestão de mudanças
Mudanças realizadas nos ativos de 
informação sob a responsabilidade da 
equipe de Tecnologia da Informação no 
escopo do SGCN no data center
Sorrel Konéng
3 Limitações do escopo
Devemos mostrar os processos e as atividades da organização que não estão contempladas no 
escopo do SGCN.
63
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
3.1 Contexto interno
Devemos mostrar o contexto interno da organização em que o escopo do SGCN está inserido. 
Assim, o resultado dessa análise deve ser inserido no item.
3.2 Contexto externo
Devemos mostrar o contexto externo da organização que o escopo do SGCN está inserido. O resultado 
dessa análise deve ser inserido no item.
4 Impacto potencial sobre os incidentes de interrupção e impactos potenciais
Os incidentes elencados a seguir determinam condição de desastre e são considerados fatores 
determinantes de interrupções dos processos finalísticos:
• Ataques cibernéticos.
• Incêndios.
• Desastre naturais.
• Problemas climáticos.
• Perda de informação significativa.
• Greve dos funcionários.
• Paralisação do sistema de transporte urbano.
• Sabotagem, terrorismo e bombas.
• Falhas no fornecimento de infraestrutura básica, energia, tecnologias e comunicações.
• Ações maliciosas que resultem em dano significativo a um ativo que interrompa os serviços da 
tecnologia da informação, incluindo ataques cibernéticos.
Essas condições de desastre podem acarretar um incidente de interrupção nos processos de negócios 
críticos da organização.
A seguir, temos uma matriz com as condições de desastre e os impactos potenciais que podem 
ocorrer na concretização do incidente de interrupção na organização:
64
Unidade II
Quadro 9 
Condições de desastre Impacto potencial na organização
Ataques cibernéticos Impactos financeiros, impactos operacionais e impactos na imagem
Incêndios Perda de vidas, impactos financeiros, impactos operacionais e impactos na imagem
Desastres naturais Perda de vidas, impactos financeiros, impactos operacionais e impactos na imagem
Problemas climáticos Perda de vidas, impactos financeiros, impactos operacionais e impactos na imagem
Perda de informação significativa
Indisponibilidade de sistemas críticos, indisponibilidade 
nos processos de negócios que utilizam os sistemas 
críticos, impactos financeiros, impactos operacionais e 
impactos na imagem
Greve dos funcionários
Indisponibilidade nos processos de negócios que utilizam 
os sistemas críticos, impactos financeiros, impactos 
operacionais e impactos nos clientes
Paralisação do sistema de transporte urbano
Indisponibilidade nos processos de negócios que utilizam 
os sistemas críticos, impactos financeiros, impactos 
operacionais e impactos no cliente
Sabotagem, terrorismo, bombas Perda de vida, impactos financeiros, impactos operacionais e impactos na imagem
Falha no fornecimento de infraestrutura básica, 
energia, tecnologias e comunicações
Indisponibilidade de sistemas críticos, indisponibilidade 
nos processos de negócios que utilizam os sistemas 
críticos, impactos financeiros, impactos operacionais e 
impactos na imagem
Ações maliciosas que resultem em dano 
significativo a um ativo que interrompa os 
serviços de tecnologia da informação, incluindo 
ataques cibernéticos
Indisponibilidade de sistemas críticos, indisponibilidade 
nos processos de negócios que utilizam os sistemas 
críticos, impactos financeiros, impactos operacionais e 
impactos na imagem
4.1 Apetite aos riscos da organização
O apetite ao risco refere-se a quanto de risco uma organização está disposta a sofrer para atingir 
os seus objetivos de continuidade de negócios. Se valores financeiros em dinheiro são seu critério de 
risco, a faixa desses valores que a empresa está disposta a perder em busca de um objetivo reflete o seu 
apetite ao risco. Na verdade, a área financeira é o melhor exemplo de uso do conceito de apetite ao risco. 
Por exemplo, a organização está disposta a perder até R$ 100.000,00 caso o risco se concretize; acima 
disso, ela vai implementar controles para que ele não se concretize.
Nessa metodologia, utiliza-se um critério de apetite ao risco qualitativo, também muito eficiente. 
Para isso, os níveis de cada risco identificados e analisados são classificados em muito baixo, baixo, 
médio, alto e muito alto. Os critérios de apetite ao risco podem ser definidos determinando quais 
são os níveis de riscos aceitáveis e quais níveis devem ser obrigatoriamente observados na fase de 
tratamento de riscos.
65
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Segundo análises em diversos tipos de organizações, pode-se dizer que, no Brasil, a maioria 
delas opta pelo apetite ao risco de aceitar todos os níveis de riscos: muito baixo, baixo e médio, e, 
consequentemente, todos os riscos altos e muitos altos devem ser tratados.
Nível de risco:
• 1 Muito baixo
• 2 Baixo
• 3 Médio
• 4 Alto
• 5 Muito alto
5 Partes interessadas
As partes interessadas que sejam relevantes para o SGCN e os seus requisitos estão determinados 
nessa seção.
O chefe de continuidade de negócios é o responsável por identificar:
• todas as pessoas ou entidades que podem afetar ou ser afetadas pelo SGCN;
• todas as obrigações legais, regulamentares, contratuais e outras obrigações relevantes, sempre que 
houver mudanças significativas na organização e durante o ciclo de melhoria contínua no SGCN.
Segue um exemplo de descrição de partes interessadas:
Quadro 10 
Parte 
interessada Interesse
Requisitos legais e regulamentares / 
Obrigações contratuais
Cidadãos
Quais os interesses dos cidadãos no 
escopo do SGCN?
Descreva os interesses aqui
Existe alguma lei, regulamentação ou contrato 
que rege a forma de trabalhar da organização 
com os cidadãos?
Insira a lei nesta coluna
Clientes
Quais os interesses dos clientes no 
escopo do SGCN?
Descreva os interesses aqui
Existe alguma lei, regulamentação ou contrato 
que rege a forma de trabalhar da organização 
com os clientes?
Insira a lei nesta coluna
66
Unidade IIParte 
interessada Interesse
Requisitos legais e regulamentares / 
Obrigações contratuais
Funcionários
Quais os interesses dos funcionários 
no escopo do SGCN?
Descreva os interesses aqui
Existe alguma lei, regulamentação ou contrato 
que rege a forma de trabalhar da organização 
com os funcionários?
Insira a lei nesta coluna
Acionistas
Quais os interesses dos acionistas 
no escopo o SGCN?
Descreva os interesses aqui
Existe alguma lei, regulamentação ou contrato 
que rege a forma de trabalhar da organização 
com os acionistas?
Insira a lei nesta coluna
Respondendo às perguntas anteriores, é possível elaborar, de forma completa, uma relação dos 
interesses de todas as partes interessadas.
6 Interfaces internas
Devemos definir as áreas e os setores internos de uma organização aos quais o escopo se destina. 
Neste item, descrevemos essas informações com o uso do organograma da organização.
7 Fornecedores e prestadores de serviço para o escopo do SGCN
As empresas descritas no quadro a seguir são as fornecedoras e prestadoras de serviço que atuam 
no apoio do SGCN.
Quadro 11 – Endereços dos fornecedores
Empresa/tipo Endereço Contato/cargo Responsável
Base/ 
Manutenção de 
refrigeração
Centro Logístico 
Talatona
Gleba GU03 – Zona 
CCb1, Armazém C1 – 
Luanda, Angola
Palmipuud Beça
Diretor de Tecnologia da Informação
Fone: 9249155560
calos.beca@novabase.com
André Patrício
Gestor de Infraestrutura e 
Sistemas Telefônicos
22 6430-1822
Sistemas/ 
Manutenção de 
sistemas
Avenida Chegue Vara 
n. 138,
Maculusso –
Luanda, Angola
Gerson Marado
Diretor de Tecnologia da Informação
Fone: 9249155560
filipe.gerson@sistec.com 
Manuel Marcelino
Gestor de Infraestrutura e 
Sistemas Telefônicos
22 6430-1822
Referência normativa
ABNT NBR ISO 22301:2020 – Tópico 4.1 – Entendendo a organização e seu contexto, 4.2 – Entendendo 
as necessidades e as expectativas das partes interessadas, 4.3 – Determinando o escopo do sistema de 
gestão da Continuidade de Negócios e 4.4 – Sistemas de Gerenciamento de Continuidade dos Negócios.
Anexos
Não aplicável.
67
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
3.3.2 Fase 2: levantamento de dados
Na etapa de levantamento de dados (fase 2), fazemos reuniões e inspeções físicas em cada área 
e em cada processo. Nessa etapa, levantamos possíveis ameaças, situações de vulnerabilidades e seus 
respectivos impactos, componentes, eventos e demais variáveis que influenciam na continuidade do 
negócio. O resultado de tudo isso é expresso em um relatório de critérios.
O meio mais interessante para conseguirmos dados sobre os riscos é realizarmos uma análise de riscos 
(risk assessment). A análise de risco é tão importante que a necessidade de ela ser feita é encontrada na 
ABNT NBR ISO 27000:2019 e na ABNT NBR ISO 22301:2020.
A análise de riscos é uma avaliação de potenciais riscos para o negócio. A análise deve começar com 
o levantamento de todo inventário de ativos envolvidos no processo em estudo, o que chamamos de 
documento de entrada da etapa.
 Observação
A norma ABNT NBR ISO 31000:2018 – Gerenciamento de Riscos 
Corporativos descreve com mais detalhes a etapa de levantamento de dados.
Logo, grande parte do relatório de critérios é constituído pelo relatório de tratamento de riscos, 
composto por todas as informações e todos os documentos salientados na gestão de riscos, conforme 
Norma ABNT NBR ISO 31000:2018.
A seguir, apresentamos um exemplo de modelo de documento de gestão de riscos, adaptado 
de Manoel (2019), e que, conforme foi salientado, é a peça fundamental do desenvolvimento de 
levantamento de dados.
Exemplo de aplicação
Modelo de documento de gestão de riscos
Quadro 12 
Empresa
H. V. Aidar Certo
Tipo: Plano Código do documento: PL-SGCN-010
Procedimento documentado de gestão de riscos 
Autor: Nome da pessoa ou do grupo 
Revisado em: 10/01/2019 
Aprovador: Nome da pessoa ou do grupo 
Versão: 1.00 
Aprovação: 10/02/2019
68
Unidade II
Finalidade
Definir responsabilidades, diretrizes e procedimento para o processo de avaliação de riscos. 
Aplicabilidade
Aplica-se a todas as pessoas envolvidas nos processos de trabalho do SGCN.
Funções e responsabilidades
• Funcionários, prestadores de serviço e fornecedores: devem participar das atividades de 
processo de avaliação de riscos, quando solicitados.
• Responsáveis pelas áreas ou setores na organização: devem participar das atividades de 
processo de avaliação de riscos, quando solicitados.
• Chefe de continuidade de negócios: deve elaborar, revisar e atualizar o documento e executar 
as atividades necessárias do processo de avaliação de riscos.
• Alta direção e Comitê de Continuidade de Negócios: devem participar das entrevistas de 
processo de avaliação de riscos, quando solicitados, decidir sobre eventuais assuntos divergentes 
resultantes do processo de avaliação de riscos e aprovar o relatório de tratamento de riscos.
Termos e definições
As definições dos termos e das expressões utilizadas no documento constam nos termos e nas 
definições das Normas ISO 22300:2018, ABNT NBR ISO 22301:2020, ABNT NBR ISO 22313:2020 e ABNT 
NBR ISO 31000:2018.
Regras e procedimentos
1 Aspectos gerais
O objetivo da avaliação de riscos é identificar de forma sistemática quais incidentes de continuidade 
de negócios podem ocorrer em sua organização e, então, através do processo de tratamento de riscos, 
preparar a organização de forma a minimizar os danos de tais incidentes.
É de suma importância entender que a avaliação e o tratamento de riscos precisam ser realizados em 
sequência, seguindo a ordem proposta na Norma ABNT NBR ISO 31000:2018. Você não pode implementar 
controles de segurança nos ativos de informação que suportam os processos a menos que você saiba 
quais deles são os mais apropriados, nem pode saber quais salvaguardas são mais apropriadas antes de 
identificar quais são as vulnerabilidades desses ativos.
69
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
2 Metodologia do processo de avaliação de riscos
O processo de avaliação de riscos consiste na identificação e na avaliação dos fatores de risco 
presentes no ambiente organizacional de forma a antecipar possíveis incidentes de continuidade de 
negócios, permitindo uma visão do impacto negativo causado às estratégias da organização e fornecendo 
conhecimento para que controles eficazes sejam implementados.
Para minimizar o risco, a execução de processo de avaliação de riscos é vital para apoiar a 
priorização das ações.
No caso da continuidade de negócios, avaliamos:
• riscos (aspectos negativos como perdas financeiras, prejuízos na imagem da organização e 
perdas de vidas);
• oportunidades (aspectos positivos como ganhos para a organização com a realização de 
treinamentos e aumentos na disponibilidade dos serviços prestados aos clientes).
Portanto, devemos avaliar sempre os dois casos: riscos e oportunidades.
No caso da gestão de riscos, a melhor metodologia a ser utilizada é a descrita na Norma ABNT NBR 
ISO 3100:2018, que orienta a identificação e o tratamento de riscos negativos (ameaças) e de riscos 
positivos (oportunidades).
Para implementar o processo de avaliação de riscos no SGCN, utilizamos uma boa prática de gestão 
de riscos, composta pelas seguintes atividades na ABNT NBR ISO 31000:2018:
• identificação de riscos;
• análise de riscos;
• avaliação de riscos.
A metodologia de gestão de riscos é composta pelos seguintes subprocessos:
a) escopo, contexto e critério;
b) avaliação de riscos;
c) tratamento de riscos;
d) registros e relato;
70
Unidade II
e) comunicação de riscos;
f) monitoramento e análise crítica.
Vejamos com detalhes cada um deles:
a) Subprocesso escopo, contexto e critério
O contexto é um conjunto de circunstâncias que se relacionam de alguma forma com um determinado 
acontecimento. É a situação geral ou o ambiente a que está sendo referido determinado assunto; neste 
caso, a análise e a avaliação de riscos.
A contextualização é a atividadede mapear todo o ambiente que envolve o evento sob análise. Esse 
subprocesso é composto por três etapas:
• identificação das informações sobre o escopo, o contexto interno e o externo;
• definição dos critérios da gestão de riscos;
• mapeamento dos ativos de informação.
O escopo é definido no documento de declaração de escopo do SGCN e no relatório de análise de 
impacto no negócio.
A entrada refere-se a informações relevantes sobre o ambiente (processos, serviços associados aos 
processos e ativos relacionados aos serviços). E a saída refere-se à identificação do escopo, do contexto 
e dos critérios.
Nas atividades que envolvem a gestão de riscos, o estabelecimento do contexto é a parte inicial 
e tem como objetivo permitir o conhecimento do ambiente da organização. A contextualização é a 
atividade de mapeamento de todo o ambiente que envolve o evento em análise. Devemos identificar o 
contexto interno e externo, os critérios da gestão de riscos e os ativos de informação. Se esses itens já 
tiverem sido descritos na declaração de escopo do SGCN, basta retirá-los.
No que tange à etapa de definição de critérios da gestão de riscos, é importante ressaltarmos que 
os critérios fazem parte da metodologia de gestão de riscos e são a forma e o valor (peso) com que os 
riscos e os impactos são valorados. Falamos sobre esses critérios no subprocesso de analisar e avaliar riscos, 
lembrando que os critérios são requisitos obrigatórios do SGCN.
Quanto à etapa de identificação dos ativos, devemos fazê-la em nível de detalhamento que permita 
o fornecimento de informações adequadas e suficientes para a análise e avaliação de riscos. Devemos 
listar os ativos de informação considerados críticos pelo contratante e os componentes organizacionais 
que esse ativo suporta.
71
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
A entrada dessa atividade é a análise de impacto no negócio, e sua saída é a definição do escopo de 
quais ativos devem ser analisados na gestão de riscos.
b) Subprocesso avaliação de riscos
Devemos identificar as fontes de risco, as áreas de impactos, os eventos (incluindo mudanças 
nas circunstâncias) e suas causas e consequências potenciais. A finalidade da etapa é gerar uma lista 
abrangente de riscos com base nesses eventos que possam criar, aumentar, evitar, reduzir, acelerar ou 
atrasar a realização dos objetivos de continuidade de negócios. Devemos aplicar ferramentas e técnicas 
de identificação de riscos que sejam adequadas aos riscos enfrentados. Informações pertinentes e 
atualizadas são importantes na identificação de riscos. É interessante incluirmos informações adequadas 
sobre os fatos por trás dos acontecimentos.
É preciso detectar todas as ameaças que podem causar impacto para a organização, pois são essas 
ameaças que podem explorar as vulnerabilidades e causar prejuízo para os processos de negócio no escopo 
do SGCN. Uma ameaça tem o potencial de comprometer os ativos de informação e, consequentemente, 
os processos de negócio. Ameaças podem ser de origem natural ou humana e podem ser acidentais ou 
ser intencionais.
Também devemos constatar todas as fontes das ameaças, tanto acidentais quanto intencionais. 
Uma ameaça pode surgir de dentro ou fora da organização. Algumas ameaças podem afetar mais de 
um ativo de informação. Nesses casos, elas podem provocar impactos diferentes, dependendo de quais 
ativos são afetados.
É necessário identificar as vulnerabilidades que podem ser exploradas por ameaças para comprometer 
os ativos da informação e os processos de negócio. Vulnerabilidades podem ser identificadas nas seguintes 
áreas: organização, pessoas, processos, procedimentos, rotinas de gestão de recursos humanos, ambiente 
físico, configuração do sistema de informação, hardware, software, equipamentos de comunicação etc.
É preciso, ainda, verificar os controles existentes para evitar custos e trabalhos desnecessários, por 
exemplo, na duplicação de controles. Além disso, enquanto os controles existentes são identificados, 
controles que não funcionam como esperado podem provocar o surgimento de vulnerabilidades.
O subprocesso avaliação de riscos também visa produzir os dados que auxiliarão na decisão sobre 
quais riscos serão tratados e quais formas de tratamento serão empregadas. Também se subdivide em 
três etapas, a saber:
• identificação dos riscos;
• análise dos riscos;
• avaliação do riscos.
72
Unidade II
A entrada é a identificação de escopo, contexto e critérios, e a saída é o relatório de avaliação de riscos.
Para analisarmos os riscos, utilizamos a metodologia da empresa Módulo®, que emprega um 
método de análise de riscos qualitativa. Nesse método, calculamos um índice (rating) denominado PSR 
(probabilidade, severidade e relevância). Esse índice define o risco para cada controle ausente encontrado 
na análise, conforme a fórmula a seguir:
Risco = Probabilidade x Impacto
Segundo a metodologia Módulo GRC Metaframework, o valor do impacto no negócio é atendido 
pelas duas variáveis S e R (severidade e relevância, respectivamente). Assim, o risco é calculado por:
Risco = Probabilidade x Severidade x Relevância
R = P x S x R
Essa metodologia considera que a ausência de controle representa vulnerabilidades associadas ao 
ativo. Caso não exista vulnerabilidade associada à falta de um controle específico em algum ambiente, 
então o controle deve ser considerado como Não aplicável (N/A).
Em conformidade com a Norma ABNT ISO GUIA 73:2009, que define risco como “a combinação da 
probabilidade de um evento e suas consequência”, consideramos, para cálculo do risco, um índice (PSR) 
que represente a estimativa desses fatores.
O valor de PSR representa o grau de risco associado à ausência de um controle, sendo calculado 
pela equação já apresentada, em que os fatores da probabilidade e severidade são pontuados durante as 
análises técnicas. A relevância é pontuada considerando-se a visão do negócio em termos da relevância 
do ativo para a organização.
Assim, o risco associado a cada controle ausente é calculado multiplicando-se os três fatores básicos 
(P, S e R). O resultado é um valor numérico entre 1 e 125, conforme mostrado a seguir:
Quadro 13 – Nível de risco e valores do PSR
Nível de risco Valores de PSR
Muito baixo 1, 2, 3, 4, 5, 6
Baixo 8, 9, 10, 12, 15, 16
Médio 18, 20, 24, 25, 27, 30
Alto 32, 36, 40, 45, 48, 50
Muito alto 60, 64, 75, 80, 100, 125
Em suma, o PSR representa o índice para o cálculo do risco.
73
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Apesar de o risco técnico (binômio probabilidade e severidade) da ausência do controle ser importante 
para os gestores de tecnologia para a análise de riscos e, consequentemente, para a segurança da 
informação e a continuidade de negócios, o que importa é considerar o risco ao negócio como fator 
de priorização de ações (fator relevância do ativo).
A matriz a seguir é uma referência para estabelecer uma pontuação adequada para cada um dos 
fatores do PSR. É importante frisar que essa matriz serve como instrumento de sintonia do senso comum, 
de forma a substituir avaliações subjetivas por critérios mais objetivos para cada um dos fatores do PSR, 
transformando-os em valores de 1 a 5.
Quadro 14 – Critérios do PSR
Probabilidade
A ocorrência de a 
vulnerabilidade ser 
explorada pelas ameaças
Severidade
A consequência de 
a vulnerabilidade 
ser explorada pelas 
ameaças
Relevância
O comprometimento da 
segurança dos ativos
5
É quase certa
(> 95%)
Afetará extremamente 
a segurança
Pode afetar toda a 
organização Muito alta
4
É muito provável
(65% ≤ P < 95%)
Afetará muito 
gravemente a 
segurança
Pode afetar um ou mais 
processos de negócios da 
organização e os prejuízos 
serão muito altos
Alta
3
É provável
(35% ≤ P < 65%)
Afetará gravemente a 
segurança
Pode afetar uma parte 
pequena e localizada do 
negócio da organização e 
os prejuízos serão baixos
Média
2
É improvável
(5% ≤ P < 35%)
Afetará pouco a 
segurança
Pode afetaruma parte 
pequena e localizada do 
negócio da organização e 
os prejuízos serão baixos
Baixa
1
É muito improvável
( < 5%)
Quase não afetará a 
segurança
Pode afetar uma parte 
muito pequena do 
negócio da organização 
e os prejuízos serão 
desprezíveis
Muito baixa
A seguir, descrevemos alguns exemplos de riscos identificados e analisados.
• Risco identificado: ausência de um processo de gestão de cópias de segurança para os ativos no 
escopo do SGCN, o que pode ocasionar parada nos sistemas.
• Ameaça: falha técnica de hardware ou de software.
• Vulnerabilidade: não há cópias de segurança.
• Controle: não há nenhum controle aplicado.
74
Unidade II
Análise de riscos = Probabilidade x Severidade x Relevância do ativo
A probabilidade de ocorrer um incidente e não ter um backup para corrigir é média (3), ou seja, é 
provável que aconteça.
Caso isso aconteça, a severidade é média (3), pois afetará gravemente a segurança da organização.
Nesse contexto, a relevância do ativo para essa organização é alta (4), pois pode afetar um ou mais 
processos de negócios da organização, com elevados prejuízos.
Vamos calcular o risco:
Risco = R = P x S x R = 3 x 3 x 4 = 36.
De acordo com a tabela de nível de risco, tal valor de risco é considerado alto.
A seguir, temos o desenho de uma figura gráfica da metodologia de análise de riscos.
Risco Probabilidade (1-5)
Relevância (1-5)
Severidade (1-5)
 - Probabilidade
 - Severidade
 - Relevância
Figura 11 
Assim, sabemos se o nível de risco é muito baixo, baixo, médio, alto e muito alto.
Na próxima etapa, precisamos avaliar os riscos que foram analisados.
A avaliação de riscos determina se os riscos são aceitáveis ou se requerem algum tipo de tratamento. 
Fazemos essa avaliação comparando os resultados da análise de riscos com os critérios estabelecidos na 
definição do contexto do SGCN. Devemos relacionar os riscos que requeiram tratamento, priorizando-os 
de acordo com os critérios estabelecidos na definição de contexto.
A Norma ABNT NBR ISO 22301:2020, em seu requisito mandatório no item 4 – Contexto da 
organização, diz que a organização deve determinar o seu apetite aos riscos e estabelecer os seus 
critérios de riscos levando em conta o apetite aos riscos.
75
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Alguns critérios foram definidos na etapa de análise de risco, como:
• o modo de definição da probabilidade;
• a maneira de análise da evolução no tempo da probabilidade e/ou consequência/severidade;
• a forma de determinação do nível de risco.
Um critério mandatório para a implementação do SGCN é definir o grau de apetite aos riscos 
da organização.
O apetite ao risco refere-se a quanto de risco uma organização tem disposição para sofrer a fim de 
atingir os seus objetivos de continuidade de negócios. Se valores financeiros em dinheiro são seu critério 
de risco, a faixa desses valores que você está disposto a perder em busca de um objetivo reflete o seu 
apetite ao risco. Na verdade, a área financeira é o melhor exemplo de uso do conceito de apetite ao risco. 
Por exemplo, a organização está disposta a perder até R$ 100.000,00 caso o risco se concretize; acima 
disso, ela vai implementar controles para que esse risco não se concretize.
Nessa metodologia, utilizamos um critério de apetite ao risco qualitativo. Para isso, determinamos os 
níveis de cada risco identificado e analisado em muito baixo, baixo, médio, alto e muito alto. Os critérios de 
apetite ao risco podem ser definidos com a determinação dos níveis de riscos aceitáveis e dos níveis 
de riscos que devem obrigatoriamente ser tratados na fase de tratamento de riscos. Por experiência, no 
Brasil, a maioria das organizações opta por um apetite ao risco de aceitar todos os riscos de níveis 
muito baixos, baixo e médio.
A saída dessa etapa da metodologia de gestão de riscos é o relatório de análise e avaliação de riscos.
c) Subprocesso tratamento de riscos
Esse subprocesso faz referência à cláusula 8.3.3 – Proteção e mitigação da ABNT NBR ISO 22301:2020 
e visa relacionar os riscos que requeiram tratamento, priorizando-os de acordo com os critérios 
estabelecidos no subprocesso avaliação de riscos.
Ressaltamos que se recomenda a implantação dos controles de segurança da informação de acordo 
com as melhores práticas de gestão de mudanças para que não aconteçam possíveis incidentes na 
implantação dos controles de SI.
O subprocesso tratamento de riscos é composto de quatro etapas:
1 – determinação da forma de tratamento dos riscos;
2 – obtenção do parecer do proprietário do ativo de informação;
76
Unidade II
3 – gestão de mudanças;
4 – identificação de riscos residuais.
A entrada é o relatório de avaliação de riscos, e a saída é o plano de tratamento de riscos.
Em relação à determinação da forma de tratamento dos riscos, para cada risco identificado, é 
necessário informar a respectiva ação de tratamento. Devemos determinar as opções de tratamento 
dos riscos, considerando as opções de mitigar, evitar, transferir ou aceitar o risco e observando os 
itens a seguir:
• eficácia dos controles de segurança de informação já existentes;
• restrições organizacionais, técnicas e estruturais de cada organização;
• requisitos legais;
• análise custo-benefício.
A seguir, descrevemos as definições das opções de tratamento de riscos:
• Para riscos negativos ou ameaças:
— Mitigar: implementar sistemas de controle para reduzir a probabilidade e o impacto negativo, 
ou ambos, associados a um risco.
— Evitar: deixar de realizar a atividade a fim de se envolver ou agir de forma a se retirar de uma 
situação de risco.
— Aceitar: realizar a atividade assumindo as responsabilidades caso ocorra o risco identificado.
— Transferir: realizar a atividade compartilhando com outra entidade o ônus associado a um risco.
• Para riscos positivos ou oportunidades:
— Melhorar: aumentar a probabilidade de que o risco (oportunidade) ocorra ou aumentar 
seu benefício caso venha acontecer. É recomendado identificar e maximizar os principais 
impulsionadores de impacto positivo para contribuir na probabilidade da ocorrência desse risco.
— Explorar: eliminar a incerteza associada ao risco (oportunidade) e garantir que a oportunidade 
realmente aconteça, garantindo assim que a oportunidade seja concretizada.
— Compartilhar: compartilhar o risco (oportunidade) com uma entidade ou pessoa que tenha 
mais capacidade de desenvolver a oportunidade em benefício do projeto da organização.
77
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
— Aceitar o risco: aceitar o risco caso não seja possível aplicar nenhuma das outras opções de 
tratamento de riscos positivos e a organização deseje que a oportunidade se concretize, mas 
não tem investimento para aplicar esforços para que ela aconteça. Assim, não é implementada 
nenhuma opção de tratamento.
Recomendamos a elaboração de um Plano de Tratamento de Riscos para o registro e a aprovação 
do proprietário de riscos de todas as opções de tratamento que foram aprovadas e que serão e foram 
implementadas, com a apresentação das respostas aos questionamentos expostos a seguir:
• O quê? Implementar o controle.
• PSR? Calcular o valor do risco (nível de risco).
• Por quê? Apontar a importância da implementação do controle.
• Como? Descrever como implementar o controle.
• Quem? Indicar o responsável pela implementação do controle.
• Quando? Indicar o prazo para a implementação do controle.
• Onde? Indicar o local para a implementação do controle.
• Quanto custa? Indicar o valor, em reais ou em HH (homem x hora), para a implementação do 
controle (opcional).
• Justificativa? Apontar uma explicação para a não implementação do controle.
O proprietário do risco é uma pessoa (ou uma entidade) com a responsabilidade e a autoridade 
para gerenciar um risco. Ele tem autoridade para aprovar a opção de tratamento adequado no ativo 
de informação em que foi identificado o risco. Essa aprovação deve ser formalizada em documentoe 
registrada na SGCN.
Os proprietários dos riscos devem assinar um termo de aceite para os riscos que forem aceitos.
Toda e qualquer implementação de controle no SGCN deve ser realizada por intermédio de um 
processo de gestão de mudanças. O objetivo desse processo é minimizar o impacto de eventuais incidentes 
que possam surgir durante a implementação do controle. Dada a complexidade que as mudanças podem 
alcançar, um processo para gerenciá-las se faz necessário, pois define o fluxo a ser seguido para que 
todas as solicitações de mudanças sejam analisadas, ordenadas, priorizadas, planejadas e implementadas 
de forma segura, sem impacto nos processos de negócio da organização.
78
Unidade II
Após a implementação das opções de tratamento, é necessário monitorar o risco residual, que, por 
definição, é o risco remanescente após o tratamento do risco. Mesmo após a implementação das ações 
de controle, ainda é possível que exista algum risco residual.
A saída dessa etapa da metodologia de gestão de riscos é o plano de tratamento de riscos, o termo 
de aceite de riscos e o monitoramento dos riscos residuais.
d) Subprocesso registro e relato
Esse subprocesso visa documentar e relatar todos os subprocessos por meio de mecanismos 
apropriados. Se for conveniente, podemos utilizar as orientações de informações documentadas para 
documentar tais relatos. O registro e o relato objetivam o que segue.
• Comunicar as atividades e os resultados de gestão de riscos para toda a organização.
• Fornecer informações que sirvam de referência para a tomada de decisão.
• Melhorar as atividades de gestão de riscos.
• Auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidades e com 
responsabilização por atividades de gestão de riscos.
As entradas são todos os documentos de gestão de riscos, e as saídas são os registros do processo 
de gestão de riscos.
e) Subprocesso comunicação de riscos
Esse subprocesso visa identificar as partes interessadas do processo de gestão de riscos, incluindo 
papéis e responsabilidades, sendo que os riscos precisam ser comunicados para os seus responsáveis.
O subprocesso comunicação de riscos é composto de duas etapas:
• identificação das partes interessadas;
• efetiva comunicação de riscos.
As entradas são o relatório de avaliação de riscos, o plano de tratamento de riscos e o termo de 
aceite de riscos, e a saída é a comunicação dos riscos para as partes interessadas.
As partes interessadas foram identificadas anteriormente no documento de declaração de escopo 
do SGCN. Caso haja uma nova parte interessada no processo de gestão de riscos, ela também deve ser 
identificada e informada sobre os riscos sob a sua responsabilidade.
79
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
A comunicação do risco é uma troca interativa, documentada formalmente, contínua e intencional 
de informações, conhecimentos e percepções sobre como os riscos devem ser gerenciados.
A comunicação é realizada entre a equipe envolvida na gestão de riscos e as partes interessadas 
nas decisões dos processos de negócio que estão no contexto da análise e avaliação de riscos. Por isso, 
as partes interessadas devem ser identificadas e documentadas.
No que tange à comunicação dos riscos às partes interessadas, essa etapa deve abordar com o 
máximo de detalhes os riscos encontrados, informando:
• a existência de ameaça, vulnerabilidade e risco;
• a natureza e a forma de ação;
• a estimativa de probabilidade;
• a severidade e as consequências possíveis;
• o tratamento e a aceitação de riscos.
A saída dessa etapa da metodologia de gestão de riscos é a comunicação dos riscos para as 
partes interessadas.
f) Subprocesso monitoramento e análise crítica
Esse subprocesso é intrínseco a todo processo: a retroalimentação é necessária para corrigir e 
aperfeiçoar o próprio processo. Assim, tal subprocesso permite detectar possíveis falhas nos resultados, 
monitorar os riscos e os controles e verificar a eficácia do processo de gestão de riscos.
O subprocesso monitoramento e análise crítica divide-se nas seguintes etapas:
• análise e consolidação das informações sobre riscos;
• identificação de oportunidades de melhoria;
• monitoramento de riscos residuais.
As entradas são a identificação de escopo, contexto e critérios, o relatório de avaliação de riscos, o 
plano de tratamento de riscos e o termo de aceite de riscos, e a saída é a melhoria contínua do processo 
de gestão de riscos.
Após o tratamento dos riscos, é necessário consolidar informações sobre o processo e identificar 
oportunidades de melhora.
80
Unidade II
Na etapa de análise e consolidação das informações sobre os riscos, devemos identificar e quantificar 
os indicadores do processo no documento de relatório executivo e análise.
Na etapa de identificação de oportunidades de melhoria, devemos analisar as informações 
consolidadas do processo por meio dos seus indicadores e identificar oportunidades de melhoria.
Na etapa de monitoramento de riscos residuais, os riscos residuais e seus fatores precisam ser 
continuamente verificados.
A saída dessa etapa da metodologia é a melhoria contínua do processo de gestão de riscos.
Referência normativa
ABNT NBR ISO 22301:2020 – Cláusulas 8.2.3 Avaliação de Riscos.
Anexos
Não aplicável.
 Saiba mais
Para saber mais sobre gestão de riscos, leia a indicação a seguir:
DE CICCO, F. Gestão de riscos: diretrizes para implantação da ISO 
31000:2018. São Paulo: Risk Tecnologia, 2018.
Para saber mais sobre o software Risk Manager da empresa Modulo®, 
visite o site:
Disponível em: https:modulo.com.br. Acesso em: 23 abr. 2021.
3.3.3 Fase 3: análise do impacto nos negócios (BIA)
A análise do impacto nos negócios ou BIA (acrônimo do inglês business impact analysis) tem o 
propósito de avaliar os recursos e os ativos necessários para enfrentar as supostas ameaças. Isso permite 
a previsão orçamentária, a redução do impacto e a minimização do tempo de recuperação.
Pela análise de impacto nos negócios, podemos entender quais são os processos mais sensíveis 
do negócio, quais são as ameaças que mais afetam a empresa e qual é o prazo requerido para a 
sua recuperação.
81
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Nessa etapa, são aplicados alguns questionários cujos resultados são os relatórios de inter-relacionamento e 
o relatório de análise de impacto nos negócios, instrumento que permite a avaliação dos custos do impacto 
nos negócios e do custo da sua recuperação.
Para se ter uma análise de impacto do negócio bem-sucedida, há dois caminhos que podem ser 
percorridos: a execução de entrevistas e a realização de workshops com as pessoas responsáveis. 
Os resultados obtidos com as entrevistas tendem a ser mais precisos, mas o dispêndio de tempo, 
geralmente, é maior do que aquele que ocorre nos workshops.
O relatório final, que é a compilação das informações obtidas pelos questionários, é o que permite 
fazer a análise de impacto. Esse documento deve apresentar pelo menos o que se expõe a seguir:
• Compilação dos processos e dos sistemas mapeados.
• Indicação dos prazos de tolerância à interrupção.
• Indicação dos impactos causados pela interrupção.
• Definição dos critérios de prioridade (custo x impacto).
• Determinação das pessoas responsáveis e dos substitutos, com os respectivos contatos.
• Indicação do RTO (recovery time objective ou objetivo do tempo de recuperação).
• Indicação do RPO (recovery point objective ou objetivo do ponto de recuperação), quando aplicável.
 Observação
A análise do impacto que um evento pode gerar no negócio não deve 
ser vista apenas no âmbito da superação de situações de crise. É sempre 
interessante fazer esse tipo de análise para mostrarmos o impacto de ações 
de melhoria nos produtos e processos.
3.3.3.1 Fase 3: informações importantes a serem analisadas em uma BIA
Algumas informações contidas em um relatório de análise de impacto são de vital importância para 
a perenidadede uma empresa. Essas informações são as que seguem.
a) Tempo objetivado de recuperação ou RTO (recovery time objective)
A análise de impacto deve ser feita considerando o impacto na operação da empresa, caso 
determinado processo fique inativo. Por essa análise, são estabelecidos os quatro níveis de impacto 
indicados a seguir:
82
Unidade II
• Impacto marginal: baixo dano ao negócio.
• Impacto aceitável: prejuízo administrável.
• Impacto alto: coloca o negócio em risco.
• Impacto catastrófico: risco de falência.
Na tabela a seguir, podemos ver o modelo de uma planilha com questionamentos qualitativos e 
quantitativos e os respectivos níveis de impacto (os valores e os questionamentos são exemplos fictícios).
Tabela 1 – Questionário de levantamento do impacto do negócio
Questões qualitativas 2 horas
4 
horas
8 
horas
24 
horas
48 
horas
1 
semana
01 – Como seus clientes reagirão a uma interrupção? 2 2 3 3 4 4
02 – Qual será o impacto para outras atividades? 1 2 2 3 3 4
03 – Como a interrupção irá influenciar a perda de reputação? 1 2 2 3 4 4
04 – Quão difícil será recuperar o trabalho perdido (backlog)? 1 1 2 2 3 3
Questões quantitativas – em US$
05 – Qual será o custo das penalidades legais e contratuais? 0 1.000 2.000 30.000 60.000 210.000
06 – Quais serão os custos com reparos? 0 0 5.000 20.000 25.000 40.000
07 – Quanto de receita será perdida? 0 0 0 10.000 20.000 70.000
Fonte: Kosutic (2020).
As perguntas devem sempre explorar os dois conjuntos de abordagens (qualitativa e quantitativa). 
O objetivo é entender o impacto financeiro, os prejuízos quanto à imagem e demais problemas advindos 
do incidente.
Levantamento ponto mais próximo de recuperação ou RPO (recovery point objective)
Nessa etapa, os entrevistados precisam listar e informar, por exemplo, todas as suas bases de dados, 
todos os arquivos, aplicativos e caixas de e-mails e definir um limite aceitável para o caso de perdê-los. 
Apesar de normalmente o resultado ser indicado em unidade de tempo, ele também pode ser apresentado 
em número de transações, registros ou espaços.
Na tabela a seguir, temos um exemplo de como as respostas para o questionário do BIA podem 
parecer para o ponto de recuperação:
83
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Tabela 2 – Questionário de levantamento do objetivo para 
ponto de recuperação (perda máxima de dados)
Questões qualitativas 2 horas 4 horas 8 horas 24 horas 48 horas 1 semana
Software #1 1 1 2 3 3 4
Software #2 2 2 3 4 4 4
Base de dados XYZ 4 4 4 4 4 4
Documentação XYZ em papel 1 1 1 2 2 3
Fonte: Kosutic (2020).
b) Objetivos mínimos de continuidade do negócio ou MBCO (minimum business 
continuity objectives)
Nessa etapa, há a necessidade de especificarmos o nível de capacidade mínima aceitável para 
determinada atividade. Devemos levar em conta os aspectos de sazonalidade de demanda (horas ou dias).
Como exemplo, temos que, em certa instituição financeira, pode haver uma demanda de transações 
perto do Natal muito maior do que no restante do ano.
c) Recursos necessários para execução do Plano de Continuidade do Negócio
Com as informações levantadas nas outras etapas, principalmente na fase do MCBO, podemos 
especificar os recursos físicos, financeiros, lógicos e de pessoal necessários para a recuperação das 
atividades. Todos os recursos devem estar discriminados com seus respectivos valores.
d) Dependências e fornecedores externos
O que não é executado por determinado departamento ou processo deve ser descrito como 
dependências internas ou de fornecedores externos.
A dependência de outras atividades é considerada quando tais atividades forem internas à organização 
(como exemplo, o departamento jurídico depende do departamento de TI para tomar uma decisão 
importante e vital ao processo). A dependência de fornecedor externo ou parceiro é aquela em que as 
atividades dependem de um fornecedor fora da organização (como exemplo, a internet é fornecida por 
uma operadora e, sem esse serviço, o departamento fica impossibilitado de tomar algumas ações).
A figura a seguir mostra a relação entre as atividades e suas dependências internas e de 
fornecedores externos.
84
Unidade II
AtividadeAtividade
Atividade
Atividade Atividade Atividade
Atividades 
de apoio
Atividades 
de apoio
Atividades 
de apoio
Produto/serviço Produto/serviço
Ativos e recursos
Produto/serviço
Propósito da organização
Dependência e 
atividades de apoio
OrganizaçãoFornecedores 
e parceiros 
terceirizados
Contexto interno
Figura 12 – Compreendendo a organização
Nessa fase, a análise do impacto do negócio é a fonte de informações que permite elaborar uma 
estratégia sólida e eficaz que fará parte do PCN. Na figura a seguir, podemos visualizar as dependências 
em que essas informações são fundamentais, vitais para o sucesso.
RPO
Ponto mais próximo
RTO
Tempo para 
recuperação do ambiente
MTD
Tempo máximo tolerável 
de inatividade (limiar do 
prejuízo para a empresa)
MBCO
Quanto a empresa 
precisa retornar da sua 
capacidade de entrega
D - 1 D0
Incidente
D + 2 D + 5
Tempo
Figura 13 – Visão estratégica dos itens da análise de impacto do negócio 
em um processo de recuperação de incidentes
A seguir, apresentamos um exemplo de modelo de documento de análise de impacto no negócio, 
adaptado de Manoel (2019).
85
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
Exemplo de aplicação
Modelo de documento de análise de impacto no negócio
Quadro 15 
Empresa
H. V. Aidar Certo
Tipo: Plano Código do documento: PL-SGCN-009
Procedimento Documentado de Análise de Impacto no Negócio
Autor: Nome da pessoa ou do grupo 
Revisado em: 10/01/2019 
Aprovador: Nome da pessoa ou do grupo 
Versão: 1.00 
Aprovação: 10/02/2019
Finalidade
Definir responsabilidades, diretrizes e procedimentos para a execução da análise de impacto 
no negócio.
Aplicabilidade
Aplica-se a todas as pessoas envolvidas nos processos de trabalho do SGCN.
Funções e responsabilidades
• Funcionários, prestadores de serviços e fornecedores: devem participar das atividades de 
análise de impacto no negócio, quando solicitados.
• Responsáveis pelas áreas ou pelos setores na organização: devem participar das atividades 
de análise de impacto no negócio, quando solicitados.
• Chefe de continuidade de negócios: deve elaborar, revisar e atualizar o documento e executar 
as atividades necessárias de análise de impacto no negócio.
• Alta direção e Comitê de Continuidade de Negócios: devem participar das entrevistas de 
análise de impacto no negócio, quando solicitados, decidir sobre eventuais assuntos divergentes 
resultantes da análise de impacto no negócio e aprovar o relatório de análise de impacto no negócio.
Termos e definições
As definições dos termos e das expressões utilizados no documento constam nos termos e nas 
definições das Normas ISO 22300:2018, ABNT NBR ISO 22301:2020 e ABNT NBR ISO 22313:2020.
86
Unidade II
Regras e procedimentos
1 Aspectos gerais
A análise de impacto no negócio avalia os processos de negócios e os efeitos que uma interrupção 
de negócio pode ter sobre eles.
O resultado dessa análise permite que seja feita uma avaliação de antemão dos recursos necessários 
para mitigar as supostas ameaças. Também permite a redução da probabilidade de ocorrência de 
impactos (perdas) em uma situação de emergência, o que minimiza o tempo demandado pela recuperação 
dos processos e do negócio.
O chefe de continuidade de negócios é responsável pela coordenação e pela execução da análise de 
impacto no negócio. O sucesso de todo o SGCN depende dessa análise. Se ela for malfeita, as tomadas 
de decisão serão executadas sem que haja favorecimento com relação aos benefícios da gestão de 
continuidade de negócios (GCN), que é a proteção daquilo que é mais importante da organização.
A análise impacto no negócio deve identificar os processos críticos, considerando todos os processos 
de negócio da organização e seus ativos de informação. Essa análisedeve considerar o que segue.
• Missão, visão e objetivos estratégicos da organização, seus deveres legais e suas obrigações 
perante as partes interessadas e o ambiente interno e externo em que está inserida.
• Identificação de processos diversos, incluindo a interligação com processos de fornecedores que 
dão suporte aos negócios da organização.
• Avaliação da pertinência e da prioridade da seleção dos processos, identificando quais são os 
mais críticos.
• Compreensão do impacto e dos efeitos em uma interrupção nos processos, o que leva à atribuição 
do tempo objetivado de recuperação.
• Determinação do período máximo de interrupção tolerável, do objetivo mínimo de continuidade 
de negócios, do ponto objetivado de recuperação e dos recursos humanos e financeiros necessários 
para a estruturação da estratégia de continuidade de negócios.
• Identificação dos impactos que podem trazer prejuízos para a organização.
2 Atividades de execução
As atividades para a execução da análise de impacto no negócio são as descritas a seguir:
• Planejamento das entrevistas com os gestores e responsáveis técnicos. Observando o 
organograma de uma organização, podemos verificar quais são os principais gestores. São essas 
87
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
pessoas que devem responder às entrevistas. Experiências adquiridas de quem já participou de 
muitas entrevistas mostram que os gestores de nível hierárquico médio são os mais indicados no 
que se refere à obtenção de informações a respeito de questões operacionais.
• Inventário e mapeamento de processos, sistemas e ativos de informação. Trata-se de um 
requisito que é fator crítico para toda a atividade do BIA, pois, se o mapeamento dos processos for 
feito de forma equivocada, as atividades que precisam desse produto trabalharão de forma errada. 
Por exemplo, se deixarmos de inventariar os ativos de conectividade (um roteador, por exemplo) 
que apresente problemas, não teremos um PCN que atenda a tal situação, e a indisponibilidade 
desse ativo pode acarretar a parada de um processo de negócio (classificado como crítico pelo 
resultado do BIA).
3 Metodologias de análise de impacto no negócio
Vamos apresentar duas metodologias para a execução da análise de impacto no negócio:
• uma mais simples, normalmente ensinada no meio acadêmico;
• outra mais profissional, geralmente utilizada por profissionais experientes.
Lembre-se de que as duas metodologias estão de acordo com os requisitos da Norma ABNT NBR 
ISO 22301:2020.
A seguir, temos uma planilha que aponta os níveis de critérios que poderão ser utilizados nos 
métodos de análise de impacto no negócio.
Análise de impacto no negócio
A análise de impacto no negócio começa com uma pergunta: se o processo sofrer uma interrupção, 
qual o impacto para a organização?
Tabela 3 
Tipos de 
impacto
Tempo para impacto 
(RTO – Tempo 
objetivado de 
recuperação)
Impacto 
operacional
Impacto à 
imagem
Impacto 
financeiro
Processos/ 
Serviços
O: para 
operacional
I: para 
imagem
F: para 
financeiro
0: 2 semanas ou mais
1: 1 semana
5: menos de 3 dias
10: 1 dia
20: 4 horas
40: imediato
0: nenhum
1: baixo
3: médio
5: alto
7: extremo
0: nenhum
1: baixo
3: médio
5: alto
7: extremo
0: nenhum
1: baixo
3: médio
5: alto
7: extremo
Soma 
total Código
Processo 1 O e F 20 7 0 3 30 AA
Processo 2 O, I e F 40 7 3 7 57 AAA
Processo 3 I e F 20 3 3 3 29 AA
Processo 4 O, I e F 10 5 5 3 25 AA
88
Unidade II
Segue uma breve explicação de preenchimento da planilha de análise de impacto no negócio:
• Na primeira coluna, devemos incluir os processos que estão no escopo da análise.
• Na segunda coluna, devemos incluir três tipos de impactos mais adequados para a organização, 
ou seja, aqueles que estão mais em evidência no mercado em que a organização atua.
• Na terceira coluna, devemos definir o RTO de cada um dos processos, seguindo os critérios 
definidos na coluna.
• Na quarta coluna, devemos definir o valor do tipo de impacto operacional de cada um dos processos.
• Na quinta coluna, devemos definir o valor do tipo de impacto à imagem de cada um dos processos.
• Na sexta coluna, devemos definir o valor do tipo de impacto financeiro de cada um dos processos.
• Na sétima coluna, devemos somar os valores das colunas 3, 4, 5 e 6.
• Na oitava coluna, devemos inserir os códigos de priorização de cada processo.
Conforme vimos, o BIA permite avaliar a prioridade na recuperação de processos e dos ativos de 
informação que devem ser mapeados e inventariados, como exemplificado a seguir:
Quadro 16 
Processos de negócios
RPO (ponto objetivado 
de recuperação): 
ponto em que a 
informação usada por 
uma atividade deve 
ser restaurada para 
permitir a operação da 
atividade na retomada
MTPD (período máximo 
de interrupção tolerável): 
tempo necessário para 
que os impactos adversos 
se tornem inaceitáveis, 
que podem surgir como 
resultado de não executar 
um processo, ou fornecer 
um produto/serviço, ou 
realizar uma atividade
OMCO (objetivo mínimo de 
continuidade de negócios): 
níveis mínimos aceitáveis
de serviços e/ou produtos
para a organização alcançar
seus objetivos de negócios 
durante uma interrupção
Processo 1 2 horas 72 horas Equipe de vendas de cinco pessoas com notebook e celular
Processo 2 Imediato 24 horas
Analista técnico e máquina 
virtual configurada com todos 
os softwares do inventário de 
ativos e rede Wi-Fi
Processo 3 2 horas 96 horas
Servidor físico com link de 
internet e máquinas virtuais 
configuradas de acordo com o 
inventário de ativos
Processo 4 18 horas 48 horas
Equipes do setor 
administrativo e de operação 
com no mínimo quatro 
pessoas, cada uma com 
notebook e internet
89
DESASTRE, RECUPERAÇÃO E GESTÃO DA CONTINUIDADE DO NEGÓCIO
A figura a seguir representa graficamente os tempos de recuperação que podem ser obtidos durante 
a execução da análise de impacto no negócio.
RPO
Ponto mais próximo
RTO
Tempo para 
recuperação do ambiente
MTD
Tempo máximo tolerável 
de inatividade (limiar do 
prejuízo para a empresa)
MBCO
Quanto a empresa 
precisa retornar da sua 
capacidade de entrega
D - 1 D0
Incidente
D + 2 D + 5
Tempo
Figura 14 – Tempos de recuperação que podem ser obtidos durante a execução da análise de impacto no negócio
A tabela a seguir apresenta um código de priorização dos processos, do mais crítico (o “AAA”) para 
o menos crítico (o “D”).
Tabela 4 – Códigos dos pontos totais
Código Soma dos pontos totais
AAA 45 ou mais
AA De 25 a 44
A 15 a 24
B 10 a 14
C 7 a 10
D 0 a 6
A priorização das atividades pode ser realizada de acordo com o código dos pontos totais.
Tabela de impacto
Podemos criar uma escala de graduação dos tipos de impactos conjuntamente com a alta direção, a 
fim de estabelecermos um parâmetro de avaliação de impactos para todos os processos de negócio do 
escopo do SGCN. Essa escala varia de 1 a 5, conforme mostrado a seguir:
1 – Não crítico
2 – Necessário
90
Unidade II
3 – Importante
4 – Significante
5 – Catastrófico
Conforme indicado no quadro a seguir, foram estabelecidos exemplos de impactos que representam 
a escala mencionada, com a intenção de que haja melhor compreensão dos entrevistados do BIA:
Quadro 17 
Nível de severidade 1 2 3 4 5
Categorias de 
consequências do 
impacto e tipos de 
impacto
Não crítico Necessário Importante Significante Catastrófico
Financeiro
Menos de 
US$ 5.000
Multas por 
atraso de 
pagamento 
de contas ou 
tributos
De US$ 5.000 a 
menos de 
US$ 100.000
Indenização 
contratual
De US$ 100.00 
para menos de 
US$ 3 milhões
Impacto 
decorrente de 
perdas de receita; 
aumento dos 
custos associados
De US$ 3 milhões 
a menos de 
US$ 20 milhões
Perda de lucro
Mais de US$ 20 
milhões
Falta de liquidez
Perda financeira 
nos negócios 
atuais e futuros
Imagem
Perda de 
confiança dos 
acionistas
Exposição 
negativa na 
mídia
O negócio 
das partes 
interessadas da 
organização é 
afetado
Perda de 
fidelização dos 
clientes
Perda de